Sandbox -X - Desktopapplikationen im Sandkasten
Fedora-Entwickler stellt Sicherheitslösung auf Basis von SELinux vor
Fedora-Entwickler Dan Walsh hat mit "Sandbox -X" eine Lösung auf Basis von SELinux vorgestellt, mit der sich Desktopapplikationen in eine Sandbox einsperren lassen, so dass sie auch bei Fehlern kein großes Unheil anrichten oder Angreifern den Zugriff auf persönliche Daten ermöglichen können.
Um Applikationen mit SELinux abzusichern, ist ein gewisser Konfigurationsaufwand notwendig, und gerade bei komplexen Applikationen wie Firefox sei es kaum möglich, die Kommunikation sinnvoll abzusichern, so Dan Walsh. Solche Applikationen bedürfen einfach weitgehender Zugriffe auf das System sowie einer direkten Kommunikation mit dem X-Server.
Daher hat Walsh Sandbox -X entwickelt. Dabei verzichtet er auf die X Access Control Extension (XAce) und setzt stattdessen auf Xephyr, um einen X-Server unter dem laufenden X-Server zu starten. Applikationen, die unter Xephyr laufen, können nicht mit dem X-Server des Host kommunizieren. Als Window-Manager kommt Matchbox zum Einsatz.
So soll eine weitgehend abgeriegelte Desktopsession entstehen, in der nahezu alle Applikationen ausgeführt werden können. Walsh demonstriert dies am Beispiel eines PDF-Betrachters, eines Terminals und Firefox.
Allerdings gibt es noch einiges an Arbeit, um das System in eine Distribution zu integrieren. Derzeit ist das Xephyr-Fenster beispielsweise nicht in der Größe veränderbar, Cut-and-Paste funktioniert nicht und auch Heimatverzeichnisse, die per NFS gemountet werden, unterstützt die Lösung noch nicht.
Walsh beschreibt Sandbox -X in einem Blogeintrag und erklärt darin auch, wie sich das System aktuell ausprobieren lässt.
Nö, nur jemdand mit mehr Fachwissen als die meisten die sich in diesem Forum wichtig...
Daß man dafür kein komplettes Linux braucht, sondern nur eine App für Windows.
(k.T.)